Доброго времени суток. Помогите пожалуйста излечить вирусы. Касперский постоянно ругается на подключение к soft.jajaca.com/lib.zip и каждый раз удаляет ряд вирусов под названиями j001.exe...d002.exe и т.д.
Доброго времени суток. Помогите пожалуйста излечить вирусы. Касперский постоянно ругается на подключение к soft.jajaca.com/lib.zip и каждый раз удаляет ряд вирусов под названиями j001.exe...d002.exe и т.д.
Последний раз редактировалось olejah; 13.11.2010 в 08:20. Причина: Вредная ссылка убрана.
выполните скрипт
пришлите карантин согласно приложения 3 правилКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('G:\usb.wsf',''); QuarantineFile('G:\autorun.inf',''); QuarantineFile('C:\WINDOWS\system32\acpi24.dll',''); QuarantineFile('C:\WINDOWS\system32\035.tmp',''); DeleteService('iuldye'); DeleteService('acpi24Drv'); QuarantineFile('C:\WINDOWS\system32\acpi24.exe',''); DeleteService('acpi24'); DeleteFile('C:\WINDOWS\system32\acpi24.exe'); DeleteFile('C:\WINDOWS\system32\035.tmp'); DeleteFile('C:\WINDOWS\system32\acpi24.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи
Сделал, логи прикрепил, карантин выслал.
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Выполните скрипт в АВЗ -Код:F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); DeleteService('e ds'); QuarantineFile('C:\WINDOWS\system32\UE7WLQXR\J001.exe',''); DeleteService('rfr'); QuarantineFile('C:\WINDOWS\system32\UE7WLQXR\G001.exe',''); DeleteService('windowss'); QuarantineFile('C:\WINDOWS\system32\V400WQSK\J001.exe',''); QuarantineFile('C:\WINDOWS\system32\waekaprnlib.dll',''); QuarantineFile('C:\Program Files\usb_anti_autorun\usb.wsf',''); DeleteFile('C:\WINDOWS\system32\waekaprnlib.dll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WaekSvc\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WaelSvc\Parameters','ServiceDll'); DeleteFile('C:\WINDOWS\system32\V400WQSK\J001.exe'); BC_DeleteSvc('windowss'); DeleteFile('C:\WINDOWS\system32\UE7WLQXR\G001.exe'); BC_DeleteSvc('rfr'); DeleteFile('C:\WINDOWS\system32\UE7WLQXR\J001.exe'); DeleteFileMask('C:\WINDOWS\system32\V400WQSK','*.*',true); DeleteDirectory('C:\WINDOWS\system32\V400WQSK'); DeleteFileMask('C:\WINDOWS\system32\UE7WLQXR','*.*',true); DeleteDirectory('C:\WINDOWS\system32\UE7WLQXR'); DeleteFileMask('C:\WINDOWS\system32\UE7WLQXR','*.*',true); DeleteDirectory('C:\WINDOWS\system32\UE7WLQXR'); BC_DeleteSvc('e ds'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Program Files\usb_anti_autorun\usb.wsf - сами ставили, знаете что это такое?
- Сделайте лог Гмер
Program Files\usb_anti_autorun\usb.wsf - это программа для удаления вируса авторан со съемных носителей, в свое время скаченая с инета.
Карантин отправил.
Лог GMER:
Последний раз редактировалось dance_machine; 13.11.2010 в 09:52.
- Сохраните текст ниже как 1.bat в ту же папку, где находится h2sqotl5.exe(GMER) и запустите этот батник(1.bat):
Компьютер перезагрузится.Код:h2sqotl5.exe -del service gvqmdw h2sqotl5.exe -del service tgafk h2sqotl5.exe -del file "C:\WINDOWS\system32\skmqtd.dll" h2sqotl5.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\gvqmdw" h2sqotl5.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\tgafk" h2sqotl5.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\gvqmdw" h2sqotl5.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\tgafk" h2sqotl5.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\gvqmdw" h2sqotl5.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\tgafk" h2sqotl5.exe -reboot
После перезагрузки:
- Сделайте повторные логи АВЗ
- Сделайте новый лог Gmer
Логи АВЗ и Гмер
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); DeleteService('WinHelp32'); DeleteFile('C:\WINDOWS\system32\WinHelp32.exe'); BC_DeleteSvc('WinHelp32'); DeleteFile('C:\WINDOWS\system32\t\mb\J001.exe'); BC_ImportAll; ExecuteSysClean; RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet001\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); BC_Activate; RebootWindows(true); end.
- Повторите логи АВЗ
Сделано.
Лог:
Выполните скрипт в АВЗ -
- прикрепите к сообщению файл fystemRoot.log, который появится в папке с AVZКод:var j:integer; NumStr:string; begin for j:=0 to 999 do begin if j=0 then NumStr:='CurrentControlSet' else if j<10 then NumStr:='ControlSet00'+IntToStr(j) else if j<100 then NumStr:='ControlSet0'+IntToStr(j) else NumStr:='ControlSet'+IntToStr(j); if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.'); end; if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then begin RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv'); RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs'); AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.'); end; end; SaveLog(GetAVZDirectory + 'fystemRoot.log'); end.
Сделано.
Что с проблемой?
Уррааа!!! Больше нет этих вирусов. Огромное спасибо Вам!!!
Рекомендуется
- Установить все важные обновления.
- Установить IE 8 - даже если Вы им не пользуетесь.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 22
- В ходе лечения обнаружены вредоносные программы:
- c:\\program files\\usb_anti_autorun\\usb.wsf - Worm.VBS.VirusProtection.d ( DrWEB: VBS.Autoruner.103, BitDefender: Generic.ScriptWorm.22F0F47D, AVAST4: VBS:VirusProtection-C )
- c:\\windows\\system32\\acpi24.dll - Trojan-Downloader.Win32.Agent.fccl ( DrWEB: Trojan.Siggen2.8159, BitDefender: Trojan.Generic.5483293, AVAST4: Win32:Malware-gen )
- c:\\windows\\system32\\waekaprnlib.dll - Net-Worm.Win32.Kolab.mrz ( DrWEB: Trojan.Siggen2.8116, BitDefender: Gen:Variant.TDss.35, AVAST4: Win32:Alureon-LC [Trj] )
- g:\\autorun.inf - Worm.VBS.VirusProtection.c ( BitDefender: Trojan.Script.447839, NOD32: INF/Autorun worm, AVAST4: VBS:Malware-gen )
- g:\\usb.wsf - Worm.VBS.VirusProtection.d ( DrWEB: VBS.Autoruner.103, BitDefender: Generic.ScriptWorm.22F0F47D, AVAST4: VBS:VirusProtection-C )
Уважаемый(ая) dance_machine, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.